위해도분석결과의효과적인확인을위한추적성기반위해도모델 정세진, 유준범 Dependable software laboratory 건국대학교
목차 서론 위해도분석 (hazard analysis) 추적성기반위해도모델 (hazard model) 위해도분석기법의추상화된모델 기법의연결관계분석및메타모델 사례연구 결론및향후연구 2
서론 안전필수시스템 (Safety critical system) 사용전 safety analysis 를통한안전성의입증이필수 ( 기능안전성표준에의거 ) 상위수준의시스템을대상으로 hazard analysis 를수행하고 safety requirement 를할당 Hazard: A potential source of harm (IEC 61508) Hazard analysis: system/software 의잠재적인위험에대한분석 ( 제거 / 경감 / 회피를위함 ) 안전성이중요한시스템 / 소프트웨어개발시위해도분석이중요함 다양한기법들이각자의목적에따라시스템 / 소프트웨어에각각독립적으로적용되기도함 현대의시스템은규모나복잡도가과거에비해크게증가 과거에비해시스템 / 소프트웨어의개발생명주기에따라여러단계에다양한 hazard analysis 들이수행됨 시스템이론에따른다양한상호작용의 failure 확인등중요요소들이변화함 Means-ends and whole-part traceability analysis of safety requirements 3
서론 적용되는다양한기법들사이에는여러관계들이성립 Cause-consequence chain 의추적성, 서로다른 item 에서의 failure (CCF) 등 하지만이에대해작성및모델링하는연구는부족 Safety life-cycle 상에서개발산출물과의추적성분석 시스템계층구조별독립적적용 본논문에서는추적성을기반으로한위해도모델을제안 위해도분석의추상화모델및메타모델제안 추적성을기반으로시스템 / 소프트웨어의다양한위해도분석결과의상관관계분석 각독립적인위해도분석결과의관계정보표현 위해도분석의다각적인결과확인 4
배경지식 Hazard analysis A process that explores and identifies conditions that are not identified by the normal design review and testing process. The scope of hazard analysis extends beyond plant design basis events by including abnormal events and plant operations with degraded equipment and plant systems. 시스템 / 소프트웨어의사고 /risk 가될수있는잠재적인위험을분석하는방법 다양한기법들이개발되어적용 FMEA, FTA, STPA, 등 목적에따라특정방법을사용 State machine analysis Safety case 등 (+ 통합사용을위한연구또한진행 ) 5
Hazard analysis 에는다양한기법들이개발되어적용됨 FMEA, FTA, HAZOP STPA, Safety case, ECFA 등 ECFA (Event Causal Factor Analysis) example FTA example STPA control structure example FMEA worksheet example 6
위해도분석기법의추상화된모델 각분석기법을추상화화여모델링 Hazard 모델을만들기위해서는우선각분석기법의요소를분석할필요가있음 기법의분석방법 / 컨셉에따라분류 1. Tree-based 2. Worksheet-based Tree 형태의다이어그램을이용하는분석기법 FTA ETA Cause consequence analysis MORT Worksheet table 을이용하는분석기법 FMEA HAZOP PHA/PHL Fault hazard analysis System hazard analysis (Safety requirement/criteria analysis) 3. Other diagram 4. Others 기타다이어그램이용하는분석기법 Event and causal factor analysis Sequentially-timed event plot (Petri net analysis) (Sneak circuit analysis) (State machine hazard analysis) (Purpose graph analysis) STPA ( 별개 ) 그외시나리오분석 Checklist Scenario analysis What-if analysis (Change analysis) (Interface analysis) (Repetitive failure analysis) Safety case ( 별개 ) 7
시작점분석및요소추출기반의추상화모델 추상화모델의요소추출을위해시작점분석을수행 시작점분석 : hazard analysis 의분석시작 / 목적 (cause-result) 에대한분석 Cause Result Checklist What-if ERA Scenario CA : Analysis Starting Point 8
각분석기법을추상화화여모델링 분석시필수적으로나타나는 element 를기준으로표현하여모델링가능 다양한위해도분석기법의요소들을추상화하여하나의모델로분류하여표현 Tree diagram: tree 요소 Worksheet: table 요소들 STPA: 분석요소들 STEP/ECFA: event 요소 Checklist, scenario analysis: question 요소 Safety case: safety argument 요소 9
gate gate 10
11
기법의연결관계분석 2-way (+1) 로추상화된모델에서의관계분석 1. Basic usage relation (usage traceability) 시작점을기준으로한각기법의요소들을원인 결과체인으로 사용 하는추적관계 추적성 : 개발프로세스에서요구사항부터의산출물간에성립되는관계 2. Basic trace relation ( 생명주기에서작업산출물의파생경로와할당또는흐름경로 ) 시스템 / 소프트웨어의컴포넌트를기준으로직접 / 간접적으로연결된추적관계 본논문에서는추적성의개념을연결관계분석으로위해도분석결과에이용함 (3. Support rationale traceability) 그외 failure/hazard/cause 등에서 support 관계로생각해볼수있는 traceability 위 2 경우에비해불명확한관계로정의 Basic event (Middle) event Accident - Causal factor - Secondary cause Cause Example Item Failure Effect Hazard/Risk - Function/purpose - Component - Parameter - Operability... - Failure Mode - Deviation - Immediate effect - System effect - Consequence - subsystem - System effect 12
같은형태로몇몇관계에대해정의 추적관계에대한정의 - 추적관계를포함한전체모델링에이용 Relation between (from to) Description (1) Basic event (2) Failure Failure equivalent trace (1) Basic event (2) Item Component related trace (1) Accident (2) Hazard/Risk Accident equivalent trace (2) Item (3) control structure Basic component trace (2) Effect/Hazard (3) UCA/state variable Failure relation (2) Failure/effect/hazard (4) Event Failure event equivalent contents traceability (4) Event (5) question Question extraction traceability 2 (Hazard/Risk) -> 1 (Accident) 1 (Accident) 와연결해서 2 (Hazard/Risk) 의원인분석 2 (Failure) -> 1 (Accident) 1 (Accident) 와연결해서 2 (Failure) 의원인분석 2 (Failure) -> 4 (Event) 4 (Event) 의 initial 에 2 (Failure) 의입력으로분석가능 2 (Hazard/Risk) 3 (Accident/Hazard). 2 (Hazard/Risk) can help to identify the hazard for 3 (Accident/Hazard). 2 번분류 1 번분류 13
위해도모델의메타모델 HA technique, traceability relation 을종합적으로표현하기위한메타모델개발 Element 들을메타모델을활용해서모델링해표현 14
위해도모델의메타모델 HA technique, traceability relation 을종합적으로표현하기위한메타모델개발 Element 들을메타모델을활용해서모델링해표현 15
메타모델 메타모델을활용함으로써 HA result + traceability relation 에대해표현 - 적용된여러종류의 HA result 의관계를포함한다각적확인가능 > 시스템에대해여러관점에서 failure hazard cause 의관계확인 > 서로다른 item 에서나타나는추적성을바탕으로 CCA 확인가능 16
사례연구 메타모델형태로만사례연구수행 돌발상황검지시스템 (AIDS) 을대상 FMEA 및 STPA 수행 정보수집서브시스템 Radar Camera Patroler Sensor 처리및판단서브시스템 운영관리서브시스템 알림서브시스템 CA Provided Not provided Soon Too soon/too late Late Early exited 처리및판단 알람 command [UCA9] 돌발상황미존재및원할한도로상황에주의알람명령제공 [UCA10] 돌발상황존재상황에알람미제공 [UCA11] 도로상황혼잡및사고상황에알람미제공 [UCA12] 돌발상황및도로상황혼잡상황에알람을늦게제공 정보수집 정보수집기컨트롤 [UCA13] 돌발상황이존재하고, 정보수집기위치가정상일때제어명령이없는상태에서제어명령제공 [UCA14] 돌발상황이존재하고, 정보수집기가반대, 중간상태에서제어명령이있는경우에발생하지않음 [UCA15] 돌발상황이존재하지않고, 정보수집기가반대위치에서제어명령이있는경우에발생하지않음 [UCA16] 돌발상황이존재하고, 정보수집기가반대, 중간상태일때정보수집기로제어명령의늦은전달발생 [UCA17] 돌발상황이존재하고, 정보수집기가반대상태일때, 정보수집기로의제어명령의빠른종료 17
사례연구 메타모델형태로만사례연구수행 돌발상황검지시스템 (AIDS) 을대상 FMEA 및 STPA 수행 Element Description FMEA STPA Hazard UCA Same contents Failure mode Cause (event) Same item traceability Item Cause (Event) Implicit item traceability 1 2 3 1 STPA의결과와 FMEA의결과에서추적성확인 Item element 는서로다르지만분석과정에서나타나는 trace relation 확인 여러시각의 hazard 확인및제거에도움이될것으로생각 2 3 18
결론및향후연구 복잡한시스템에여러종류로적용되는 hazard analysis 의결과를효과적으로확인할수있는추적성기반의모델개발 기법의추상화모델및기법의추적관계기반 다양한여러위해도분석의결과를여러관점에서다각적으로확인가능 향후연구 시스템컴포넌트의계층적요소반영 추적성을기반으로한모델의시각화방법개발 19
감사합니다 20